До FS Group звернулися представники одного із банків Республіки Казахстан. Банкіри надали запит на проведення аналізу витоку даних з установи. Експерти перевірили інформацію і виявили на одному з «форумів з тіньовою репутацією» пропозицію щодо продажу фінансових даних клієнтів цього банку. Однак саме оголошення було підозрілим.
Користувач під псевдонімом Afonya був зареєстрований на майданчику з вересня 2017 року, але за цей час розмістив лише 4 оголошення, 2 з яких стосувалися продажу бази даних казахського банку. Це свідчило про низьку активність хакера.
Експертам вдалося встановити адресу, яку шахрай використав для реєстрації на сайті форуму. Ця адреса вивела на фейсбук-сторінку, яка потенційно могла належати шахраю, а також допомогла визначити акаунт зловмисника в Skype.
Маючи цю інформацію, кардера почали шукати на «профільних форумах». Як виявилося, зловмисник був зареєстрований на 10 найпопулярніших майданчиках із продажу банківських даних. Експерти також встановили тимчасові проміжки активності злочинця на таких сайтах та IP-адреси, за допомогою яких він виходив на ці вебресурси.
На одному з таких форумів було знайдено пости зловмисника, завдяки яким розслідувач зміг визначити ще одну електронну адресу зловмисника, а потім – на ще один профіль ICQ, який розкрив ще один імейл злочинця, який містить ім’я та прізвище. Пошук за цим імейлом підтвердив взаємозв’язок зі знайденими раніше обліковцями та електронними адресами, а пошук інформації на ім’я пошти фігуранта справи призвів до двох облікових записів у російськомовній соціальній мережі. Хоча вони були вилучені, експерту вдалося отримати інформацію з вебархіву та дізнатися ім’я підозрюваного, встановити, що той перебуває в Білорусі та визначити ВНЗ, в якому той навчався.
«На основі проведеної роботи вдалося визначити ще 2 електронні адреси, які безпосередньо пов’язані з листуванням зловмисника щодо кардингу. За однією з адрес зловмисник зареєстрував обліковий запис на популярній російській онлайн-дошці оголошень та залишив контактний номер телефону. Аналіз другої електронної адреси дозволив встановити, що у 2013 році хакер перебував у місті Москва, Росія», – розповідає Ігор Биков, аналітик FS Group.
«Розслідування дозволило деанонімізувати зловмисника та сформувати доказову базу для подальшої передачі матеріалів замовнику. На основі звіту можна зробити висновок, що зловмисник проводив роботу з популяризації своїх профілів на даркнет-форумах для створення негативної репутації банку та введення в оману користувачів, які бажають придбати банківську інформацію клієнтів банку. Реальними даними користувачів хакер не володів», – пояснюють у FS Group
Джерело: biz.nv.ua
